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(54) Verfahren zum Verbinden von mindestens zwei Netzwerkssegmenten eines Netzwerkes mit 
einer Zugangskontrolle durch eine Benutzerkennung 



(57) Die Erfindung betrifft ein Vertahren zum Verbin- 
den von mindestens zwei Netzwerkssegmenten eines 
Netzwerkes mit Hilfe eines eine Seriennummer aufwei- 
senden Datenubertragungsgerates, bei dem f Or den Zu- 
griff auf mindestens ein Netzwerkssegment mit einer 
Benutzerdatenbank die Ubertragung einer Benutzer- 
kennung fur jeden Nutzer dieses Netzwerksegmentes 
erforderlich ist, wobei der Zugriff auf das die Benutzer- 
kennung erfordernde Netzwerkssegment bei Uberein- 
stimmung der vom Benutzer ubertragenen Benutzer- 
kennung mit der in der Benutzerdatenbank gespeicher- 
ten Benutzerkennung freigegeben wird. 

Um bei einem derartigen Verfahren die Zugangs- 
kontrolle zu verbessern, wird erfindungsgemaG vorge- 



schlagen, daB 

die Seriennummer in einem Speicherelement des 
Datenubertragungsgerat gespeichert ist, aus die- 
sem Speicherelement die Seriennummer von einer 
im Datenubertragungsgerat befindlichen Kommuni- 
kationssoftware ausgelesen und aus der Serien- 
nummer nach einem feststehenden Algorithmus ei- 
ne Benutzerkennung erzeugt wird und 
an das eine Benutzerkennung erfordernde Netz- 
werkssegment vor dem ersten Zugriff die Serien- 
nummer ubertragen wird und dort nach einem Qber- 
einstimmenden Algorithmus wie in dem Datenuber- 
tragungsgerat eine Benutzerkennung erzeugt und 
in der Benutzerdatenbank abgespeichert wird. 
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Beschreibung 

[0001] Die Erfindung betrifft ein Verfahren zum Ver- 
binden von mindestens zwei Netzwerkssegmenten ei- 
nes Netzwerkes mit Hilfe eines eine eindeutige Serien- 
nummer aufweisenden Datenubertragungsgerates mit 
einem Kommunikationsprogramm, das die Datenkom- 
munikation in dem Netzwerk abwickelt, bei dem fur den 
Zu griff auf mindestens ein Netzwerkssegment mit einer 
Benutzerdatenbank die Obertragung einer Benutzer- 
kennung fur jeden Nutzer dieses Netzwerksegmentes 
erforderiich ist, wobei der Zugriff auf das die Benutzer- 
kennung erfordernde Netzwerkssegment bei Uberein- 
stimmung der vom Benutzer Obertragenen Benutzer- 
kennung mit der in der Benutzerdatenbank gespeicher- 
ten Benutzerkennung freigegeben wird. 

1. Hintergrund der Erfindung 

[0002] Einzelplatzsystem ist die Bezeichnung fur ein 
Computersystem, an dem im Gegensatz zu einem Netz- 
werk zur gteichen Zeit nur ein Benutzer arbeiten kann. 
Im Zuge der zunehmenden Bedeutung von Netzwerken 
ergeben sich Sicherheitsfragen, da in der Regel nicht 
jeder Benutzer auf alle Daten innerhalb eines Netz- 
werks zugreifen konnen soli. Ein Netzwerk besteht aus 
mehreren Netzwerkssegmenten, die untereinander, re- 
gelmaBig Ober eine Leitung verbunden sind. Ein Netz- 
werkssegment kann ein LAN (Local Area Network), ein 
WAN (Wide Area Network) Oder auch nur ein einzelner 
Personalcomputer sein. 

[0003] Die Nutzung einzelner Netzwerkssegmente ist 
oft mit der Zahlung eines Entgelts verknupft, so daB die 
Identitat des Benutzers zu Abrechnungszwecken fest- 
gestellt werden muB. Oblicherweise erfolgt die Zu- 
gangskontrolle (Authentisierung) des Benutzers mit Hil- 
fe eines bekannten (offentlichen) Benutzernamens und 
eines (geheimen) PaBwortes (Benutzerkennung). 

Ablaut: 

[0004] 

a) Der Benutzer meldet sich durch Eingabe von Be- 
nutzernamen und PaBwort (Benutzerkennung) an 
dem entgeltpflichtigen Netzwerkssegment an. 

b) Im angesprochenen Netzwerkssegmentes wird 
mit Hilfe einer Benutzerdatenbank, die alle Benut- 
zernamen mit den dazugehorigen PaBwortern ent- 
halt, gepruft, ob der Benutzer das gultige PaBwort 
eingegeben hat. 

Diese Benutzerdatenbank enthalt auBerdem 
eine Liste mit benutzerspezifischen Zugriffsrech- 
ten, die regeln, welcher Benutzer auf welche Daten- 
bestande wie zugreifen darf. 

c) Stimmt das eingegebene Paar Benutzername/ 
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PaBwort mit den Eintragen in der Benutzerdaten- 
bank Oberein, wird von dem Netzwerkssegment die 
Benutzung mit den in der Benutzerdatenbank fest- 
gelegten Zugriffsrechten freigegeben. 

5 

d) Nach ausdrucklicher Abmeldung des Benutzers 
oder nach Ablaut einer bestimmten Zeit, in der kei- 
ne Eingaben des Benutzers erfolgen, spent das 
Netzwerkssegment die Benutzung wieder 

10 

2. Stand der Technik 
[0005] 

is 2.1 Dieses Verfahren zur Authentisierung der Be- 
nutzer wird in alien gangigen Betriebsystemen fur 
PC-basierende Netzwerke angewandt, z.B. Win- 
dows NT, Solaris, Linux. 

2.2 Der Nachteil des Verfahrens wird insbesondere 
20 bei wachsenden Benutzerzahlen im Netzwerk of- 
fenbar. Der systemseitige Verwaltungsaufwand in 
dem entgeltpflichtigen Netzwerkssegment steigt 
proportional mit der Anzahl der Benutzer dieses 
Netzwerksegments. Je hoher die Benutzerzahl ist, 
2S desto hoher wird auch die Wahrscheinlichkeit von 
Eingabefehlern, da mode me Betriebssysteme den 
Zugang zu dem Netzwerksegment nach einer vor- 
gegebenen Hochstzahl von erfolglosen Einloggver- 
suchen sperren. Dann muB der Administrator des 
30 Netzwerksegmentes tatig werden, urn den Benut- 
zer wieder freizuschalten und ihm eine neues 
PaBwort zuzuteilen. Dies kostet Zeit und erfordert 
person ell en Auf wand. Dieser Effekt wird noch ver- 
starkt dadurch, daB sich durch die ansteigende Zahl 
35 von erforderlichen Administratoren zusatzliche 
Kommunikationsprobleme untereinander ergeben. 

Auf der Benutzerseite ergibt sich insbesondere 
fur die im Umgang mit Netzwerken unerfahrenen 
Benutzer das Problem, daB die ausgewahlte Nut- 
40 zerkennung fur den Zugang zum Netzwerk wieder- 
um in das eigene ED V-System vor miBbrauchlichen 
Fremdzugriffen und fur den Fall von Datenverlust, 
beispielsweise aufgrund eines 'Systemabsturzes ,t 
geschutzt gespeichert werden muB. 
45 |m Ergebnis stellt sich fur diese Benutzergrup- 

pe die moderne Netzwerktechnik oft als zu komplex 
und nicht handhabbar dar. Da aber das mit weitem 
Abstand wichtigste Netzwerk der Gegenwart - das 
Internet - eine bedeutende Quelle des Wissens und 
50 ein fur Untemehmen und Privatpersonen immer 
wichtiger werdendes Kommunikationsmittel ist, er- 
gibt sich das Bedurfnis die Nutzung zu vereinfachen 
und damit auch unerfahrenen Benutzern zu eroff- 
nen. 

55 2.3 Bisherige Losungsversuche konnen auf die un- 
ter 1. beschriebene Authentisierung nicht verzich- 
ten, sei es durch direkte Eingabe der Nutzerken- 
nung oder durch indirekte Eingabe, z.B. mittels ei- 
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ner Codecarte, die in ein Kartenlesegerat gescho- 
ben werden muB. Die bekannten Losungen basie- 
ren daher uberwiegend auf einem belehrenden An- 
satz. Der Benutzer wird, in der Regel im Benut- 
zungsvertrag, auf die Wichtigkeit der Benutzerna- 
me/PaBwort-Kombination (Benutzerkennung), die 
Notwendigkeit der Geheimhaltung sowie die mog- 
lichen Folgen bei Nichtbeachtung hingewiesen. 

Die Erfahrung zeigt, daB der Benutzungsver- 
trag kaum bzw. nur sehr oberflachlich gelesen und 
dessen Inhalt schnell wieder vergessen wird. Der 
Verlust der Nutzerkennung wird durch die heutigen 
Betriebssysteme, die die Nutzerkennung unsicht- 
bar speichem, sogar noch begunstigt. Geht die Nut- 
zerkennung beispielsweise durch eine defekte 
Festplatte verloren, werden die Betreiber von Netz- 
werken, insbesondere entgeltpflichtigen Netz- 
werkssegmenten, z.B. Internet-Provider, regelma- 
f3ig mit Anfragen von Benutzern konfrontiert, die ih- 
re Nutzerkennung vergessen haben und daher ein 
neues PaBwort benotigen. 
2.4 Als Alternative zu der Authentisierung der Be- 
nutzerkennung durch Datenbankvergleich ist eine 
auch als Dongle oder Kopierschutzstecker bezeich- 
nete Vorrichtung bekannt, in der ein Code dauerhaft 
gespeichert ist, der allgemeine oder spezifische Be- 
nutzerdaten enthalt. Der Dongle muB an dem PC 
des jeweiligen Benutzers angeschlossen werden. 
Damit der Benutzer auf Programme innerhalb eines 
Netzwerks zugreifen kann, fragt das Programm zu- 
nachst den im Dongle gespeicherten Code ab. Die- 
ses Verfahren wurde in der Vergangenheit insbe- 
sondere als Software-Kopierschutz eingesetzt. Zu 
den hohen Kosten fur Dongles kommen auch noch 
andere Nachteile hinzu. : Will man fur den Zugang 
zu einem Netzwerkssegment einen anderen Perso- 
nalcomputer benutzen, muB man das Dongle ab- 
schrauben und erneut montieren. AuBerdem ist 
nicht gewahrleistet, daB Dongles mit jeder Hard- 
ware funktionieren. Fur moderne Zugangskontrol- 
len ist der Dongle daher unbrauchbar und befindet 
sich auch als Kopierschutz auf dem Ruckzug. 

3. Aufgabe 

[0006] Ausgehend von diesem Stand der Technik 
liegt der Erfindung daher die Aufgabe zugrunde, ein Ver- 
fahren zum Verbinden von mindestens zwei Netzwerk- 
segmenten mit verbesserter Zugangskontrolle zu schaf- 
fen. 

4. Erfindungsbeschreibung 
[0007] 

4.1 Die Verfahren zur Zugangskontrolle von Benut- 
zern eines ersten Netzwerksegmentes (Client), z. 
B. ein einzelner Personalcomputer, zu einem Netz- 



werkssegment (Server), z.B. ein Zugangsrechner 
eines Internet-Providers, mittets einer Benutzer- 
kennung sind praktisch fur samtliche Netzarten ein- 
heitlich. Die Erfindung setzt daher auf der Benutzer- 
5 seite an. 

Als Kopplungselement zwischen den Netz- 
werkssegmenten wird ublicherweise ein sog. Rou- 
ter (Gateway) eingesetzt. Dieser authentisiert sich 
wie ublich mit Hilfe einer Benutzerkennung bei dem 
10 mit ihm gekoppelten Netzwerkssegment. Die vor- 
liegende Erfindung macht sich nun die Tatsache zu- 
nutze, daB Router einzelner Hersteller eine eindeu- 
tige Seriennummer besitzen, die in einem nicht- 
fluchtigen Speicherelement gespeichert wird. Die- 
is ser Speicher kann von der im Router befindlichen 
Kommunikationssoftware ausgelesen werden. Ei- 
ne miBbrauchliche Verwendung einer Seriennum- 
mer ist praktisch ausgeschlossen, da sie die Kennt- 
nis der Vergabe von Seriennummem beim Herstel- 
20 |er voraussetzt. Somit ist eine genugend hohe Si- 
cherheit gegen Fremdeingriffe gegeben. 

Die Kommunikationssoftware des Routers ist 
erfindungsgemaB urn einen feststehenden Algo- 
rithmus erweitert, der aus der eindeutigen Serien- 
25 nummer eine ebenso eindeutige Benutzerkennung, 
insbesondere aus Benutzername und PaBwort er- 
zeugt. Dem Betreiber des die Eingabe einer Nutzer- 
kennung erfordernden Netzwerksegmentes ist die- 
ser feststehende Algorithmus ebenfalls bekannt. 

30 

4.2 Im einzelnen wird die Aufgabe durch die Merk- 
male des Anspruchs 1 gelost. Aus der Seriennum- 
mer des Datenubertragungsgerates, insbesondere 
Routers, wird die Benutzerkennung, insbesondere 

35 aus einem Benutzername sowie einem eindeutigen 
und nicht reversibel entschlusselbaren PaBwort, 
mit Hilfe des Algorithmus erzeugt. 

AuBerdem wird die Seriennummer an das eine 
Benutzerkennung erfordernde Netzwerkssegment 

40 vor dem ersten Zugriff ubertragen und dort nach 
demselben Algorithmus wie in dem Datenubertra- 
gungsgerat eine Benutzerkennung erzeugt und in 
der Benutzerdatenbank abgespeichert. 

Die Geheimhaltung beschrankt sich somit auf 

45 die unmittelbar betroffenen Mitarbeiter von Router- 
Hersteller und dem Betreiber des die Eingabe einer 
Benutzerkennung erfordernden Netzwerksegmen- 
tes. 

Zur Erzeugung des nicht reversibel entschlus- 
50 selbaren PaBwortes aus der Seriennummer wird 
vorzugsweise als Algorithmus eine Hashfunktion, 
insbesondere die Hashfunktion MD5 verwendet. 
Der "Message Digest 5" Algorithmus wurde von R. 
Rivest und S. Dusse als komplexe one -way- Hash- 
es funktion entwickelt. 

Fur den Fall, daB unbefugten Dritten doch ein- 
mal eine Benutzerkennung bekannt wird, besteht 
die Moglichkeit, im Router eine neue Benutzerken- 
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nung entsprechend den Merkmalen des Anspruchs 
5 unabhangig von der auf der Basis der Seriennum- 
mer rechnenden Kommunikationssoftware zu hin- 
terlegen, indem der Anwender uber das Konfigura- 
tionsprogramm des Routers eine neue Nummer ge- s 
neriert. 

4.3 Der mit dem erfindungsgemaBen Verfahren er- 
zielbare Vorteil besteht darin, daB der Benutzer kei- 
nerlei Eingriffe am Router vornehm en muB. Es ge- 10 
nugt, an den Betreiber des die Eingabe einer Be- 
nutzerkennung erfordernden, insbesondere ent- 
geltpflichtigen Netzwerksegmentes, z.B. einen In- 
ternet-Provider, die Seriennummer des Routers zu 
ubertragen. Diese ist auf jedem Router aufge- is 
druckt. 

AuBerdem erhoht das Verfahren auch die Si- 
cherheit gegen das Ausspionieren von Benutzer- 
kennungen, da deren Einzelheiten auf keinem Do- 
kument mehrf estgehalten werden mussen (z.B. auf 20 
einem Telefax an den Netzwerkbetreiber) und somit 
nicht von Unbef ugten eingesehen werden konnen. 

Durch die Einfachheit des Verfahrens fur den 
Benutzer erhoht sich deutlich die Akzeptanz zur 
Nutzung von insbesondere kostenpflichtigen Netz- 25 
werkssegmenten, z.B. um uber einen Zugangs- 
rechner eines Internet-Providers eine Verbindung 
zum Internet aufzubauen. Durch das vereinfachte 
Zugangsverfahren und den Wegfall des mit der Ge- 
heimhaltung des PaBwortes verbundenen Verwal- 30 
tungsaufwandes wird einem deutlich groBeren Be- 
nutzerkreis der einfache Zugang zu einzelnen Netz- 
werkssegmenten, insbesondere dem Internet er- 
moglicht. 



Patentanspruche 

1. Verfahren zum Verbinden von mindestens zwei 
Netzwerkssegmenten eines Netzwerkes mit Hilfe 40 
eines eine eindeutige Seriennummer aufweisenden 
Datenubertragungsgerates mit einem Kommunika- 
tionsprogramm, das die Datenkommunikation in 
dem Netzwerkabwickelt, bei dem fur den Zugriff auf 
mindestens ein Netzwerkssegment mit einer Benut- 45 
zerdatenbank die Ubertragung einer Benutzerken- 
nung fur jeden Nutzer dieses Netzwerksegmentes 
erforderlich ist, wobei der Zugriff auf das die Benut- 
zerkennung erfordernde Netzwerkssegment bei 
Ubereinstimmung der vom Benutzer Qbertragenen so 
Benutzerkennung mit der in der Benutzerdaten- 
bank gespeicherten Benutzerkennung freigegeben 
wird, dadurch gekennzeichnet, daB 

die Seriennummer in einem nichtfluchtigen ss 
Speicherelement des Datenubertragungsgerat 
gespeichert ist, aus diesem Speicherelement 
die Seriennummer von der im Datenubertra- 



gungsgerat befindtichen Kommunikationssoft- 
ware ausgelesen und aus der Seriennummer 
nach einem feststehenden Algortthmus eine 
Benutzerkennung erzeugt wird und 
an das eine Benutzerkennung erfordernde 
Netzwerkssegment vor dem ersten Zugriff die 
Seriennummer ubertragen wird und dort nach 
einem Gbereinstimmenden Algorithmus wie in 
dem Datenubertragungsgerat eine Benutzer- 
kennung erzeugt und in der Benutzerdaten- 
bank abgespeichert wird. 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB ein Router als Datenubertragungs- 
gerat verwendet wird. 

3. Verfahren nach Anspruch 1 oder 2, dadurch ge- 
kennzeichnet, daB die Benutzerkennung aus ei- 
nem Benutzernamen sowie einem nicht reversibel 
entschlusselbaren PaBwort besteht. 

4. Verfahren nach Anspruch 3, dadurch gekenn- 
zeichnet, daB zumindest zur Erzeugung des nicht 
reversibel entschlusselbaren PaBwortes aus der 
Seriennummer eine Hashfunktion, insbesondere 
die Hashfunktion MD5 verwendet wird. 

5. Verfahren nach einem der Anspruche 1 bis 4, da- 
durch gekennzeichnet, daB 

der Anwender uber das Konfigurations-Pro- 
gramm des Datenubertragungsgerates eine 
neue Nummer generieren kann, die die Serien- 
nummer des Datenubertragungsgerates er- 
setzt, 

von der im Datenubertragungsgerat befindli- 
chen Kommunikationssoftware aus der neuen 
Nummer nach dem feststehenden Algorithmus 
eine neue Benutzerkennung erzeugt wird und 
an das eine Benutzerkennung erfordernde 
Netzwerkssegment vor dem ersten Zugriff mit 
der neuen Benutzerkennung die neue Nummer 
ubertragen wird und dort nach dem Gberein- 
stimmenden Algorithmus wie in dem Daten- 
ubertragungsgerat eine neue Benutzerken- 
nung erzeugt und in der Benutzerdatenbank 
abgespeichert wird. 



